Про кибербезопасность для среднего и малого бизнеса от ISACA

Про кибербезопасность для среднего и малого бизнеса от ISACA
Недавно на сайте ISACA были опубликованы несколько небольших, но довольно интересных документов по кибербезопасности для небольших компаний:
К сожалению, оба платные (35$ для членов ISACA), но я купил и прочитал первый из них. В нем представлены рекомендации по построению и совершенствованию системы защиты от киберугроз, о которых я и хочу рассказать в этой заметке.

Сам документ можно условно разделить на 4 смысловых блока.

1.Принципы обеспечения кибербезопасности. Их всего 8, но они приведены с краткими разъяснениями. Вот перечень:
  • Principle 1: Know the potential impact of cybercrime and cyberwarfare
  • Principle 2: Understand end users, their cultural values and their behavior patterns
  • Principle 3: Clearly state the business case for cybersecurity and the risk appetite of the enterprise
  • Principle 4: Establish cybersecurity governance
  • Principle 5: Manage cybersecurity using COBIT principles and enablers
  • Principle 6: Know the cybersecurity assurance universe and objectives
  • Principle 7: Provide reasonable assurance over cybersecurity
  • Principle 8: Establish and evolve systemic cybersecurity
2.Рекомендации по обеспечению кибербезопасности. Всего их 55, они объединены в следующие блоки:
  • Cybersecurity Governance (1-28)
    • Governance
    • Cybersecurity Strategy
    • Principles, Policies and Frameworks
    • Cybersecurity Processes
    • Cybersecurity Organization
    • Culture, Ethics and Behavior
    • Information Assets - кстати другое
    • Services, Infrastructure and Applications
    • People, Skills and Competencies
  • .Cybersecurity Risk Management (29-48)
    • Information Asset Inventory
    • Secure Configuration
    • Risk, Threats and Vulnerabilities
    • Defense in Depth
    • Cybersecurity for Applications
    • Identity and Access Management
    • Continuity and Resilience
  • Cybersecurity Assurance and Compliance (49-55)

Как вы можете обратить внимание, в группе "Governance" блоки соответствуют движущим силам (enablers) из COBIT5. Это довольно удобно, позволяет взаимоувязывать методологии. В целом, многие рекомендации представлены слишком неконкретно, но все же помогают выстроить видение целостной системы безопасности. Приведу несколько рекомендаций:
  • 1. Cybersecurity shall be subject to good governance, in line with other corporate governance arrangements in place. This good governance includes clear rules, boundaries, cybersecurity measures and controls.
  • 6. The cybersecurity strategy should address preventive, detective and corrective measures.
  • 29. Enterprises shall maintain an inventory of authorized and unauthorized applications and software, hardware, and mobile devices.
  • 34. Potential logical points of entry to the enterprise IT environment, such as ports, external access privileges, and publicly available services and protocols, shall be configured in a secure manner.
  • 40. Enterprises should implement and maintain appropriate defense mechanisms to prevent attacks on applications, including mobile applications. These mechanisms include comprehensive and frequent patching and updating of any third-party applications.
  • 43. Enterprises shall implement and maintain adequate processes for managing user identities and access to the enterprise IT environment.
  • 49. Enterprises shall implement and maintain appropriate internal controls over IT to ensure an adequate level of protection. These internal controls shall be aligned to the general system of internal controls.
Отдельно стоит отметить, что документ рассчитан на небольшие компании, поэтому рекомендации советуют приоритезировать в зависимости от величины компании. Т.е. если у вас мало человек, то и слишком мудрить не стоит. Вот часть таблицы с указание групп и величины организации: 

3.Перечень критериев для внутреннего контроля состояния кибербезопасности. В приложении А "Audit and Assurance Framework" приведена таблица с критериями аудита под все 55 рекомендаций с одним из 3х приоритетов: Critical, Significant, Important. Если тема внутреннего аудита ИБ вам близка, то таблица вам точно пригодится.

4.Маппинг (таблицы соответствия) рекомендаций с другими стандартами и лучшими практиками. Помимо движущих сил и процессов COBIT5 рекомендации смаппированы и на вот эти "лучшие практики":

Если вы являетесь приверженцем одного из этих стандартов и "лучших практик", то такие таблицы могут быть очень полезными в работе.


В целом документ довольно интересный, но он мне показался слишком общим и коротким (всего 55 страниц) и явно не стоящим своих денег. Рекомендую лучше посмотреть вот эти документы ISACA:

И еще посмотрите:
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

Andrey Prozorov

Информационная безопасность в России и мире